La gran pink publicitaria recopila datos de actividad privada, …



Una empresa china de publicidad móvil ha modificado el código del kit de desarrollo de computer software incluido en más de 1.200 aplicaciones, recopilando maliciosamente la actividad del usuario y realizando fraudes publicitarios, dice Snyk, una empresa de seguridad de application.

Más de 1.200 aplicaciones, que superan los 300 millones de descargas mensuales colectivas, han incorporado un package de desarrollo de computer software (SDK) del servicio de publicidad chino Mintegral que tiene un código malicioso para espiar la actividad del usuario y robar los ingresos potenciales de la competencia, declaró la firma de seguridad de application Snyk en un análisis publicado el 24 de agosto.

Las capacidades maliciosas se integraron en el SDK distribuido por la firma de publicidad Mintegral en algún momento de julio de 2019. Normalmente, una forma para que los desarrolladores moneticen sus aplicaciones, tal SDK puede incluir funcionalidades que los desarrolladores no conocen. En el caso de Mintegral, durante más de un año, las capacidades subrepticias han reasignado los clics publicitarios, de modo que la empresa se beneficia de los clics en las tarifas publicitarias destinadas a otras redes publicitarias, y ha transmitido la URL completa de la página asociada a la aplicación. , exponiendo potencialmente tokens de seguridad y otra información confidencial.

La actividad maliciosa requirió un análisis en profundidad y la ayuda de expertos de la industria de la publicidad para decodificar, y los desarrolladores probablemente nunca hubieran detectado el comportamiento, dice Danny Grander, cofundador y director de seguridad de Snyk.

«Esto no es obvious para el desarrollador, porque no están robando cada clic», dice. «Es probabilístico y los desarrolladores no dedican su tiempo a analizar cada línea de código y los binarios que se incorporan a sus aplicaciones».

La compañía informó a Apple sobre los resultados de la investigación el viernes pasado. Mintegral no había respondido a una solicitud de comentarios al momento de la publicación. Apple proporcionó solo información common sobre las prácticas de privacidad como antecedentes, pero ninguna declaración específica sobre el caso.

El análisis, si Apple lo confirma, podría resultar en la prohibición del marco publicitario de la plataforma, ya que Apple responsabiliza a los desarrolladores por el comportamiento de sus aplicaciones. En 2015, por ejemplo, Apple prohibió un SDK distribuido por la firma de publicidad china Youmi y eliminó más de 250 aplicaciones de la tienda de aplicaciones después de que se descubrió que el SDK recopilaba la dirección de correo electrónico del usuario y la información sobre las otras aplicaciones en el teléfono del usuario.

Si bien el fraude publicitario podría ser la más rentable de las dos capacidades subrepticias incluidas en el SDK, la recopilación de información confidencial es más preocupante, dice Grander. «Este código puede hacer cualquier cosa solo las credenciales filtradas de una aplicación pueden darte mucho, porque puedes abusar de él más tarde sin tener acceso al dispositivo», agrega.

El fraude publicitario es una forma common entre los ciberdelincuentes y los estafadores de desviar dinero del ecosistema de publicidad en línea. En 2016, por ejemplo, la firma de integridad publicitaria WhiteOps descubrió que los ciberdelincuentes rusos habían robado entre $ 3 y $ 5 millones todos los días de editores que pagaban por clics fraudulentos en una vasta operación conocida como Methbot.

Al utilizar kits de desarrollo de software package que pueden ser incorporados por desarrolladores involuntarios en sus aplicaciones, algunos estafadores han incursionado en las principales tiendas de aplicaciones mantenidas por Apple y Google. En octubre, la empresa de seguridad RiskIQ bloqueó un 20% más de aplicaciones maliciosas en tiendas de aplicaciones de terceros.

En el último caso, Mintegral parece haber modificado su SDK en julio de 2019 para agregar capacidades adicionales, incluida la reasignación de clics en anuncios de otros anunciantes a su propio inventory publicitario.

«Los desarrolladores pueden registrarse como editores y descargar el SDK del sitio de Mintegral», declaró Alyssa Miller, defensora de la seguridad de las aplicaciones en Snyk, en una publicación de blog que describe los problemas. «Una vez cargado, el SDK inyecta código en las funciones estándar de iOS dentro de la aplicación que se ejecutan cuando la aplicación abre una URL, incluidos los vínculos de la tienda de aplicaciones, desde la aplicación. Esto le da al SDK acceso a una cantidad significativa de datos e incluso a usuarios potencialmente privados información.»

El SDK de Mintegral incluyó una serie de medidas anti-análisis, como la doble ofuscación de los datos recopilados de los usuarios, que dificultaron la ingeniería inversa, afirmó Snyk en su análisis. Por ejemplo, el código intentará determinar si el teléfono se está emulando en una plataforma de análisis.

El SDK captura todos los detalles de las solicitudes basadas en URL realizadas dentro del contexto de cualquier aplicación que incluya el program, afirmó Snyk. La información potencialmente en riesgo incluye la URL con identificadores o tokens de seguridad, encabezados y el identificador de dispositivo para anunciantes o IDFA. En un video clip incluido con el análisis publicado, Snyk muestra los detalles de un documento de Google que está siendo capturado por Mintegral SDK.

Snyk confirmó que la compañía le había dado a Apple detalles de su investigación el viernes. «Apple confirmó el viernes que actualmente están trabajando para remediar esto», dijo un portavoz.

Apple requerirá que los desarrolladores publiquen resúmenes de sus prácticas de privacidad a partir de OS 14, a partir del próximo mes, e incluirá la información cuando muestre aplicaciones en la Application Retail store de Apple.

Periodista tecnológico veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET Information.com, Darkish Examining, MIT&#39s Technologies Critique, Common Science y Wired Information. Cinco premios de periodismo, incluido el de Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first